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Vragen van de leden Veldman en De Caluwé (beiden VVD) en Oosenbrug 
(PvdA) aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties over het 
bericht «beveiliging tientallen gemeentesites lek: persoonsgegevens niet 
veilig» (ingezonden 10 maart 2016). 

Antwoord van Minister Plasterk (Binnenlandse Zaken en Koninkrijksrelaties) 
(ontvangen 30 maart 2016). 

Vraag 1 

Heeft u kennisgenomen van het bericht «beveiliging tientallen gemeentesites 
lek: persoonsgegevens niet veilig»? 1 

Antwoord 1 
Ja 

Vraag 2 

Herinnert u zich de antwoorden op eerdere vragen over het onderwerp 
beveiliging van persoonsgegevens bij gemeenten? 2 

Antwoord 2 
Ja 

Vraag 3 

Hoeveel gemeenten hebben de beveiliging van persoonsgegevens niet op 
orde? 

Antwoord 3 

Op 1 maart heeft een groep onderzoekers de DROWN-aanvalstechnieken 
gepresenteerd. Met DROWN maakt een aanvaller misbruik van (web)servers 
die SSL 2.0 ondersteunen of die een verouderde versie van OpenSSL, een 
veel gebruikte oplossing om webservers te beveiligen, gebruiken. De 
onderzoekers hebben bekendgemaakt dat ongeveer een derde van alle 
webservers wereldwijd kwetsbaar is voor DROWN. De manier waarop 
gemeenten in samenwerking met hun toeleveranciers de kwetsbaarheid 


1 http://www.rtlnieuws.nl/nieuws/binnenland/beveiliging-tientallen-gemeentesites-lek- 
persoonsgegevens-niet-veilig 

2 Aanhangsel Handelingen, vergaderjaar 2015-2016, nr. 319 en nr. 1613 
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hebben opgelost kan niet tot de conclusie leiden dat gemeenten de beveili¬ 
ging van persoonsgegevens niet op orde zouden hebben. Gemeenten nemen 
hun verantwoordelijkheid als het gaat om informatiebeveiliging en de 
bescherming van vertrouwelijke gegevens en hebben hiervoor een gemeen¬ 
schappelijk normenkader in de Baseline Informatiebeveiliging Nederlandse 
Gemeenten (BIG). Alle gemeenten implementeren momenteel de maatregelen 
en normen uit de BIG. Mij zijn dus geen gemeenten bekend die informatiebe¬ 
veiliging in het algemeen of de beveiliging van persoonsgegevens in het 
bijzonder niet op orde zouden hebben. 

Vraag 4 

Wat is uw reactie op het feit dat tientallen gemeentewebsites kunnen worden 
onderschept door een datalek in SSL? Bent u het er mee eens dat de 
overheid in alle gevallen de veiligheid van persoonsgegevens dient te 
waarborgen? 

Antwoord 4 

De kwetsbaarheid die op 1 maart bekend werd doet zich voor zelfs als 
nieuwere versies van het protocol gebruikt worden, maar de oudere versies 
nog niet zijn uitgeschakeld. Op 2 maart publiceerde het NCSC hierover een 
factsheet, waarin het zijn advies herhaalde om de oudere versie uit te 
schakelen en servers uitsluitend op basis van het nieuwe protocol te 
configureren, alsmede om, indien gebruik gemaakt wordt van OpenSSL, deze 
bij te werken tot de meest recente versie. 

De overheid is, net als alle andere verwerkers van persoonsgegevens, 
gehouden passende technische en organisatorische maatregelen te treffen 
om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van 
onrechtmatige verwerking. Overigens bestaat 100% veiligheid niet en zullen 
steeds nieuwe kwetsbaarheden worden ontdekt. 

Vraag 5 

Welke stappen heeft u tot nog toe ondernomen om dit probleem op te 
lossen? Welke maatregelen treft u om de gemeenten ertoe te bewegen 
maatregelen te treffen om de beveiliging van persoonsgegevens op orde te 
brengen? Welke rol ziet u voor u zelf om de omgang met privacy door 
gemeenten te verbeteren? 

Antwoord 5 

Informatiebeveiliging van gemeenten is een lokale verantwoordelijkheid. De 
BIG biedt voldoende technische, organisatorische en fysieke handvatten om 
de beveiliging van persoonsgegevens te kunnen waarborgen. 

Vraag 6 

Wat doet de Autoriteit Persoonsgegevens (AP) anders dan «verscherpte 
aandacht hebben» voor het geconstateerde probleem? 

Antwoord 6 

Naast «verscherpte aandacht» adviseert de Autoriteit Persoonsgegevens in 
haar nieuwsbericht van 4 maart 2016 verwerkers van persoonsgegevens om, 
indien gebruik wordt gemaakt van de programmeerbibliotheek OpenSSL, 
deze bij te werken naar de laatste versie en zij waarschuwt dat indien de 
configuratie niet wordt aangepast mogelijk artikel 13 van de Wet bescher¬ 
ming persoonsgegevens (Wbp) wordt overtreden. 

Vraag 7 

Deelt u de mening dat de AP de beveiliging van persoonsgegevens bij 
gemeenten tot hoogste prioriteit moet benoemen en daarnaar handelen? Zo 
nee, waarom niet? Zo ja, welke (aanvullende) rol kan het Nationaal Cyber 
Security Center (NCSC) spelen? 

Antwoord 7 

De AP heeft het onderwerp beveiliging van persoonsgegevens en het 
onderwerp lokale overheden als twee van haar vijf prioritaire thema's 
vastgesteld in haar «Agenda 2016» en beschouwt dit dus als prioriteit, net als 
vorige jaren. Zij heeft ook meermaals onderzoek gedaan naar de beveiliging 
van persoonsgegevens bij gemeenten. Daarnaast heeft zij gesprekken 
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gevoerd met de VNG en heeft zij onder meer richtsnoeren en beleidsregels 
over beveiliging van persoonsgegevens gepubliceerd op haar website. 

Het NCSC adviseert beheerders van websites hoe deze de geconstateerde 
kwetsbaarheid kunnen verminderen. 

Ook steunt de Informatiebeveiligingsdienst voor gemeenten (IBD) gemeenten 
bij het opheffen van de kwetsbaarheid. 

Vraag 8 

Deelt u de mening dat beheerders van de gemeentewebsites de site moeten 
updaten, zodat oudere SSL-technologieën niet meer worden ondersteund? 
Wat is uw reactie op de uitspraak van de onderzoeker van het beveiligingsbe¬ 
drijf Dear Bytes dat het «verbazingwekkend is dat overheidsinstanties nog 
gebruikmaken van zulke verouderde technologieën, terwijl er al meer dan vijf 
jaar veilige alternatieven zijn»? 

Antwoord 8 

Zoals ik in het antwoord op vraag 4 aangaf, doet de kwetsbaarheid zich ook 
voor als er wel degelijk van nieuwe technologieën gebruik wordt gemaakt, 
maar de configuratie het gebruik van het oude protocol nog toestaat. Daarom 
luidt het advies om niet alleen de servers op basis van het nieuwe protocol te 
configureren, maar ook om gelijktijdig de oudere versie uit te schakelen. 
Gemeenten moeten passende maatregelen nemen om vertrouwelijke 
gegevens te beveiligen en beveiligd te houden. Het gaat hierbij om techni¬ 
sche maar ook organisatorische en fysieke maatregelen. Bij bekendwording 
van de DROWN-kwetsbaarheid hebben gemeenten maatregelen genomen. 

Vraag 9 

Kunt u aangeven welke sanctie er staat op een datalek zoals bedoeld in de 
Wet meldplicht datalekken? Kunt u aangeven of de gemeentes conform hun 
plicht in de Wet meldplicht datalekken hun bewoners hebben geïnformeerd? 
Zo nee, wat gaat u hieraan doen? 

Antwoord 9 

Een datalek vormt op zichzelf niet direct aanleiding tot het opleggen van een 
sanctie. Indien een datalek ten onrechte niet bij de Autoriteit Persoonsgege¬ 
vens gemeld wordt, kan de Autoriteit Persoonsgegevens eerst een bindende 
aanwijzing opleggen. Daarna kan de Autoriteit Persoonsgegevens eventueel 
een bestuurlijke boete opleggen. Deze bestuurlijke boete bedraagt ten 
hoogste het bedrag van de zesde categorie van artikel 23, vierde lid, van het 
Wetboek van Strafrecht. Dat is per 1 januari 2016 maximaal 820.000 euro. De 
boetebeleidsregels van de Autoriteit Persoonsgegevens die op haar website 
staan, geven hier een nadere invulling aan. Los van de boete kan de AP ook 
een last onder dwangsom opleggen. Tot slot heeft de AP de bevoegdheid om 
bij constateringen van overtreding van artikel 13 (over het vereiste om 
passende technische en organisatorische maatregelen te nemen ter beveili¬ 
ging van persoonsgegevens) van de Wet bescherming persoonsgegevens een 
bindende aanwijzing, boete of last onder dwangsom op te leggen. 

Of de DROWN-kwetsbaarheid bij gemeenten heeft geleid tot een datalek 
zullen deze gemeenten zelf vast moeten stellen. Een belangrijke vraag die de 
gemeente daarbij moet beantwoorden is of zij onrechtmatige verwerking 
redelijkerwijs kan uitsluiten. Of een eventueel datalek moet worden gemeld 
aan de toezichthouder, en eventueel aan de betrokkenen, hangt onder meer 
af van aard van de persoonsgegevens die het betreft. De Autoriteit Persoons¬ 
gegevens heeft beleidsregels meldplicht datalekken gepubliceerd op haar site. 
Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of 
sprake is van een datalek dat zij moeten melden bij de Autoriteit Persoonsge¬ 
gevens en bij de betrokkenen. 

Vraag 10 

Op welke wijze wordt binnen de GDI toegezien op het voorkomen van risico's 
voor burgers wanneer zij digitaal zaken doen met de overheid, nu in het 
kader van de Generieke Digitale Infrastructuur (GDI) afspraken worden 
gemaakt met decentrale overheden over digitale dienstverlening door de 
overheid? 
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Antwoord 10 

Zoals ik in december 2015 aan uw Kamer meldde, bereid ik op dit moment, 
samen met de Minister van Economische Zaken wetgeving voor ter onder¬ 
steuning van het voornemen uit het Regeerakkoord, dat burgers en bedrijven 
uiterlijk in 2017 zaken die ze met de overheid doen, digitaal kunnen afhande¬ 
len. Gestreefd wordt het wetsvoorstel voor de eerste tranche, met daarin de 
onderwerpen informatieveiligheid, de naleving daarvan en de inrichting van 
het toezicht daarop, eind 2016 bij de voorzitter van de Tweede Kamer aan te 
bieden. 

Vraag 11 

Hoe beoordeelt u de problemen met de veiligheid van de persoonsgegevens 
in het licht van de afspraak uit het regeerakkoord dat uiterlijk in 2017 
bedrijven en burgers zaken met de overheid digitaal kunnen afhandelen? 

Antwoord 11 

Voor het zaken doen met de overheid is veiligheid en privacybescherming 
essentieel en randvoorwaardelijk. Zie ook het antwoord op vraag 10. 

Vraag 12 

Kunt u aangeven of de problemen met de beveiliging van invloed zijn op 
Operatie BRP? Zo ja, op welke manier is dit van invloed? 

Antwoord 12 

De geschetste problemen met de beveiliging van websites van gemeenten 
zijn niet van invloed op Operatie BRP. De BRP is, anders dan de gemeentelijke 
websites, immers niet publiekelijk benaderbaar. 

Vraag 13 

Kunt u aangeven hoe het staat met de uitvoering van de motie Veldman en 
Oosenbrug (Kamerstuk 34 300 VII, nr. 27), waarin de regering wordt opgeroe¬ 
pen om samen met de VNG tot een sluitende aanpak met betrekking tot 
bescherming van persoonsgegevens bij gemeenten te komen? 

Antwoord 13 

Het Ministerie van BZK is met de VNG en de directeuren sociaal domein aan 
het werk om te zorgen dat de aanpak van privacy zoals die afgelopen jaren is 
uitgewerkt ook structureel geborgd wordt bij gemeenten. Hiervoor worden 
onder andere best practices verzameld en werkbijeenkomsten belegd met 
directeuren sociaal domein. In samenwerking met VNG en GGZ Nederland 
wordt daarnaast gewerkt aan een programma om te zorgen dat ook de 
aansluiting bij instellingen gerealiseerd wordt. Dit zal worden afgesloten met 
een werkconferentie in juni. 
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